我有这个人(或机器人)来自智利的一个 IP,它在我的服务器上以 root 身份与 SSHD 建立了“已建立”的连接。
我试图了解 netstat 的输出真正意味着什么,手册并没有真正提供关于它们的太多细节。这是我得到的:
root@linode [~]# netstat -tanpc|grep 200.29.174.125
tcp 0 840 45.33.71.204:22 200.29.174.125:40506 ESTABLISHED 12016/sshd
tcp 0 21 45.33.71.204:22 200.29.174.125:40792 ESTABLISHED 12020/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:41079 SYN_RECV -
tcp 0 1 45.33.71.204:22 200.29.174.125:40792 FIN_WAIT1 -
tcp 0 84 45.33.71.204:22 200.29.174.125:41079 ESTABLISHED 12022/sshd
tcp 0 52 45.33.71.204:22 200.29.174.125:41353 ESTABLISHED 12024/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:41661 ESTABLISHED 12026/sshd
tcp 0 720 45.33.71.204:22 200.29.174.125:41959 ESTABLISHED 12028/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:42208 ESTABLISHED 12030/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:42509 ESTABLISHED 12032/sshd
tcp 0 21 45.33.71.204:22 200.29.174.125:42810 ESTABLISHED 12034/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:43094 SYN_RECV -
tcp 0 84 45.33.71.204:22 200.29.174.125:43094 ESTABLISHED 12036/sshd
tcp 0 52 45.33.71.204:22 200.29.174.125:43362 ESTABLISHED 12038/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:43676 ESTABLISHED 12040/sshd
tcp 0 720 45.33.71.204:22 200.29.174.125:43936 ESTABLISHED 12042/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:44229 ESTABLISHED 12044/sshd
tcp 0 840 45.33.71.204:22 200.29.174.125:44566 ESTABLISHED 12047/sshd
tcp 0 21 45.33.71.204:22 200.29.174.125:44844 ESTABLISHED 12056/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:45079 SYN_RECV -
tcp 0 84 45.33.71.204:22 200.29.174.125:45079 ESTABLISHED 12058/sshd
我从上面的输出中了解到,此人(或机器人?)每秒都在更改端口,因此每次他(或它)“建立”连接时,都会为 SSHD 创建一个新的 PID。我对吗?
接下来我想问的更重要的事情是这里的“ESTABLISHED”状态是否意味着他(或它)实际上可以以root用户身份访问我的服务器?或者,如果我的上述假设是正确的,这是否意味着他(或它)正在扫描我服务器中的端口,仍然试图进入?
建立仅意味着连接完全打开并且可以传输数据。这并不一定意味着所有的数据已被发送!它并不暗示第 7 层的任何内容,无论是否有人对您的系统进行了身份验证。您可以检查系统日志以了解是否有人已成功通过身份验证。
| 归档时间: |
|
| 查看次数: |
6021 次 |
| 最近记录: |